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Procede de verification de signature 
ou d'authentif ication 

La presente invention concerne un procede 
5 permettant de rendre plus efficace, en temps de calcul, en 
RAM et ROM necessaires, la verification d'une signature ou 
d'une authentif ication asymetrique requerant quelques 
multiplications modulo n ou des grands nombres . 
Les algorithmes de signature ou d' authentif ication RSA et 
10 Rabin sont des exemples permettant la mise en oeuvre de ce 
procede . 

Le procede est plus particulierement adapte en vue 
d'une mise en ceuvre dans le cas d' un ordinateur, par 
exemple un ordinateur personnel designe par PC, qui genere 

15 une signature ou une authentif ication au moyen d'une cle 
secrete qui doit ensuite etre verifiee par une carte a 
microcalculateur . Le microcalculateur effectue cette 
verification au moyen d'une cle publique. II dispose de 
relativement peu de puissance en comparaison du PC. 

20 Par ''carte a microcalculateur" , on entend un 

microcontroleur monolithique standard, avec memoire 
incorporee . 

Actuellement la majorite des algorithmes a cle 
publique utilises dans le monde effectuent des calculs 

25 modulo de "grands nomhres" . Par "grands nombres" on 
designe des nombres entiers positifs et d' au moins 320 
bits. Pour des raisons de securite, la communaute 
scientifique recommande meme actuellement d'utiliser des 
nombres d' au moins 512 bits, voire 1024 bits pour la 

30 plupart des algorithmes, par exemple pour les algorithmes 
RSA ou Rabin. 

Actuellement les cartes a microcalculateur sont 
amenees a dialoguer avec des ordinateurs ayant des 
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capacites de calcul bien plus importantes qu' elles-memes . 
De plus/ pour des raisons de cout, on utilise souvent des 
cartes a microcalculateur sans coprocesseur arithmetique, 
et avec des ressources en memoire (ROM, RAM et EEPROM) 
5 tres limitees. De ce fait, les calculs normalement requis 
pour realiser une verification d' authentif ication, ou une 
verification de signature a cle publique, utilisant des 
calculs modulo de grands nombres sont souvent tres longs, 
voire impossible faute de memoire suffisante, si I'on 
10 utilise les descriptions traditionnelles des algorithmes 
cryptographiques . 

Dans la suite de la description on designe par : 

• " prouveur " : I'entite qui veut etre authentif iee, ou qui 
produit une signature . Elle ef f ectue pour cela des 

15 calculs faisant intervenir la cle secrete de 

I'algorithme asymetrique utilise. II s'agira par exemple 
d' un ordinateur de type PC. 

• " irerlfieur " : I'entite qui verifie 1 ' authentif ication, 
ou qui verifie la validite d'une signature. Elle 

20 effectue pour cela des calculs faisant intervenir 

uniquement la cle publique de i'algorithme 
cryptographique asymetrique utilise. II s'agira par 
exemple d' une carte a microcalculateur. 

La presente invention a pour objet la mise en 
25 ceuvre d'un procede de verification de signature et 
d' authentif ication permettant de remedier aux 
inconvenients precites inherents a la capacite de calcul 
plus limitee d'une entite verifieur, constituee par une 
carte a microcalculateur, vis-a-vis d'une entite prouveur, 
30 tel qu'un ordinateur personnel ou autre muni d'un 
dispositif lecteur de carte . 

Un autre objet de la presente invention est en 
consequence une simplification des operations de calcul de 
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certaines reductions modulaires du verifieur grace a la 
mise en oeuvre de calculs supplementaires du prouveur, la 
tache du verifieur etant ainsi simplifiee en 1' absence de 
tout af f aiblisseitient de la securite theorique de 
5 1' ensemble. 

Le precede de verification de signature 
respectivement d' authentif ication au moyen d'un processus 
de calcul cryptographique asymetrique a cle privee et a 
cle publique, objet de la presente invention, ce procede 

10 etant conduit entre une entite "prouveur" et une entite 
"verifieur", 1' entite prouveur effectuant des calculs 
cryptographiques a partir de la cle privee en vue 
d'effectuer un calcul de signature, respectivement une 
valeur d* authentif ication, et 1' entite verifieur a partir 

15 de cette valeur transmise effectuant des calculs 
cryptographiques a partir de cette cle publique en vue de 
proceder a cette verification de signature, respectivement 
a cette authentif ication, les operations de calcul 
cryptographique mettant en oeuvre le calcul de 

20 multiplications modulo n ou des grands nombres, est 
remarquable en ce que, pour un processus de calcul 
cryptographique mettant en cKuvre une cle publique, 
constituee par un exposant public e et un modulo public n, 
et une cle privee constituee par un exposant prive, d, ce 

25 procede consiste a calculer, au niveau de 1' entite 
prouveur, au moins une valeur de prevalidation et a 
transmettre de 1' entite prouveur a 1' entite verifieur 
cette au moins une valeur de prevalidation, permettant a 
1' entite verifieur d'effectuer au moins une reduction 

30 modulaire en 1' absence de toute operation de division pour 
cette reduction modulaire. 

Le procede, objet de la presente invention, 
s' applique dans le cadre de tout dialogue ou protocole 
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d'echange de. messages entre une entite prouveur telle 
qu'un ordinateur personnel et une entite verifieur telle 
qu'une carte a microcalculateur, en particulier dans le 
cadre de transactions bancaires, de controle d'acces ou 
5 analogue. 

II sera mieux compris a la lecture de la 
description ci-apres et a 1 ' observation des dessins dans 
lesquels : 

- la figure 1 represente un schema illustratif du 
10 precede, objet de la presente invention, mis en oeuvre 

entre une entite prouveur et une entite verifieur ; 

- la figure 2a represente un schema illustratif du 
precede, objet de la presente invention, mis en oeuvre a 
partir d'un algorithme de Rabin en verification 

15 d' authentif ication ; 

- la figure 2b represente un schema illustratif du 
precede, objet de la presente invention, mis en oeuvre a 
partir d'un algorithme de Rabin en verification de 
signature ; 

20 - la figure 3a represente un schema illustratif du 

precede, objet de la presente invention, mis en oeuvre a 
partir d'un algorithme RSA en verification 
d' authentif ication ; 

- la figure 3b represente un schema illustratif du 
25 precede, objet de la presente invention, mis en oeuvre a 

partir d'un algorithme RSA en verification de signature. 

Une description plus detaillee du precede, objet 
de 1' invention, sera donnee en liaison avec la figure 1 et 
les figures suivantes. 
30 Le precede objet de 1' invention met en oeuvre, au 

niveau de 1' entite verifieur, des algorithmes a cle 
publique requerant des multiplications modulo n, ou des 
grands nombres, et les medifie legerement en faisant faire 



le calcul d'un ou de plusieurs quotients q a I'exterieur, 
c'est-a-dire au niveau de I'entite prouveur, et en 
fournissant ce ou ces quotients au verifieur. Ainsi le 
verifieur peut plus facilement et plus rapidement calculer 
5 certaines multiplications modulaires : au lieu de calculer 
a*b modulo n, il aura juste a calculer a*b, q*n, et 
a*b-q*n, a, b designant des valeurs des calcul de 
verification de signature ou d' authentif ication . Parfois, 
pour la securite il utilise cette derniere valeur d'une 

10 fagon qui lui permettra de s' assurer que cette derniere 
valeur est bien comprise entre 1 et n. Lorsque I'on 
modifie ainsi un algorithme/ en " precalculant" done 
certains quotients, qui sont fournis au verifieur afin de 
simplifier les calculs executes par ce dernier, on parle 

15 d' algorithme " sous-jacen t " pour designer 1' algorithme 
initial dont on est parti, avant de faire cette 
modification. Ainsi, en reference a la figure 1, 
conformement a un aspect remarquable du precede objet de 
la presente invention, le ou les quotients q, verifiant la 

20 relation q=a*b/n, constituent une ou plusieurs valeurs de 
prevalidation transmises a I'entite verifieur afin de 
permettre a I'entite verifieur d'effectuer au moins une 
reduction moduiaire en 1' absence de toute operation de 
division pour cette reduction moduiaire. En reference a la 

25 figure 1, on indique que le precede objet de 1 ' invention 
peut etre mis en oeuvre soit en verification de 
1 ' authentif ication, suite a 1' envoi d*une valeur 
d'incitation tel qu'un alea a (voir la reference 0 sur la 
figure), calcul (reference 1) en interne au niveau du 

30 prouveur d'une valeur de reponse b = a"^ mod n, et de la 
valeur de prevalidation q, transmission (reference 2) de b 
et q du prouveur au verifieur et calcul (reference 3) par 
le verifieur des quantites a*b, q*n et a*b-q*n pour 
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proceder a la verification de 1 ' authentif ication, soit a 
la verification de signature d'un message M, suite au 
calcul (reference 1) au niveau du prouveur d'une signature 
S = Sci(M) du message M et de la valeur de prevalidation q, 
5 envoi (reference 2) du verifieur au . prouveur de q, S et M, 
calcul (reference 3) au niveau du verifieur des quantites 
a*b = S*S, q*n et a*b-q*n pour proceder a la verification 
de signature • 

Dans la figure 1 et les figures suivantes, una 

10 fleche droite represente la transmission des valeurs 
precitees entre verifieur et prouveur ou reciproquement et 
une boucle flechee au niveau du prouveur ou du verifieur 
represente la mise en ceuvre d'un calcul interne au niveau 
du prouveur ou du verifieur. Enfin, dans la suite de la 

15 description, on designe par reponse R soit la valeur 
calculee b par chiffrement de I'alea a dans le cas d'une 
verification d' authentif ication b = a*^ mod n, soit la 
valeur de signature S = Sd(M) suite a la mise en presence 
du verifieur et du prouveur . 

20 Differents examples de mise en oeuvre du precede 

objet de la presente invention seront maintenant decrits a 
partir des algorithmes sous- j acents , designes par 
algorithmes RSA et algorithmes de Rabin. 
Algorithmes RSA et de Rabin sous- j acents 

25 L'algorithme RSA est le plus celebre des 

algorithmes cryptographiques asymetriques . II a ete 
invente par RIVEST, SHAMIR et ADLEMAN en 1978, On peut le 
trouver deer it dans : 

R.L. RIVEST, A. SHAMIR, L.M. ADLEMAN : A Method for 
30 Obtaining Digital Signatures and Public-Key Cryptosystems, 
Communications of the ACM, 21, n*'2, 1978, pp. 120-126. 
ou dans les documents suivants : 
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• ISO/IEC 9594-8/ITU-T X.509, Information Technology - 
Open Systems Interconnection - The Directory: 
Authentication Framework ; 

• ANSI X9.31-1, American National Standard, Public-Key 
5 Cryptography Using Reversible Algorithms for the 

Financial Services Industry, 1993. 
Ces documents sont introduits dans la presente description 
a titre de reference. 

L'algorithme RSA utilise un nombre entier n qui 
10 est le produit de deux grands nombres premiers p et r, et 
uh nombre entier e, premier avec ppcm (p-1 , r-1 ) , et tel que 
e ± 1 modulo ppcm (p-1 , r-1 ) . Les entiers n et e 

constituent la cle publique. Le calcul en cle publique 
fait appel a la fonction a de Z/nZ dans Z/nZ definie par 
15 a(x)=x^ mod n. Le calcul en cle secrete fait appel a la 
fonction a"^(y)=y'^ mod n, ou d est I'exposant secret, 
appele aussi "cJe secrete" ou "cle prlvee", defini par 
ed = 1 mod ppcm (p-1 , r-1 ) . 

Notons n le modulo public RSA, notons d I'exposant 
20 secret RSA et notons e I'exposant public RSA, 

Dans le cas d'une verification d ' authentif ication, 
le verifieur genere un nombre aleatoire A modulo n, et 
I'envoie au prouveur. Celui ci calcule alors B= A"^ modulo 
n, et renvoie cette valeur B au verifieur. Celui-ci 
25 accepte alors 1 ' authentif ication si et seulement si: 
modulo n = A. 

La plus petite valeur de e pour mettre en ceuvre 
l'algorithme RSA est e = 3. Pour e = 2, on parle 
d'algorithme de Rabin ; celui-ci sera decrit ci-apres dans 
30 la description, Cette valeur e = 3 est interessante car 
elle permet au verifieur de n' avoir a effectuer que deux 
multiplications modulaires . 
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L' algorithme de Rabin est en quelque sorte un 
algorithme RSA avec I'exposant public e = 2, En fait, 
lorsque e = 2, la fonction n'est pas bijective 

modulo n, lorsque n est le produit de deux nombres 
5 premiers > 2, on introduit done des petites modifications 
dans 1' utilisation de 1' algorithme de Rabin par rapport au 
RSA. 

On peut trouver une description de 1' algorithme de 
Rabin dans : 

10 M.O. Rabin, Digitized Signatures and Public-Key Functions 
as intractable as Factorization, Technical Report LCS/TR- 
212, M.I.T. Laboratory for Computer Science, 1979, 
introduit dans la presente demande de brevet a titre de 
reference . 

15 Exemples de mise en oeuvre du precede objet de 1' invention 
a partir des algorithmes de Rabin et RSA 
♦ Algorithme de Rabin 

Le precede, objet de la presente invention, sera 
tout d'abord decrit dans un mode de realisation 

20 particulier non limitatif a partir de 1' algorithme de 
Rabin, soit pour e = 2, 

Verification d' authentif ication 
Ainsi que represente en figure 2a, un exemple 
possible d' utilisation de 1' algorithme de Rabin en 

25 verification d' authentif ication est maintenant decrit. 

Notons n le modulo public. Le verifieur genere un nombre 
aleatoire A modulo n, et I'envoie, (reference 0 sur la 
figure), au prouveur. Celui-ci calcule alors un nombre B 
(reference 1), et renvoie cette valeur B au verifieur. 

30 Celui-ci accepte alors 1 ' authentif ication si et seulement 
si: B*B modulo n est egal a I'une des quatre valeurs 
possibles suivantes : A, ou n-A, ou C*A modulo n, ou -C*A 
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modulo n. C est un nombre fixe par le protocole, C = 2 le 
plus souvent. 

Pour simplifier le processus de verification, 
conf ormement au precede objet de la presente invention, le 
5 prouveur n'envoie pas, (reference 2), la valeur B seule : 
il envoie B et Q, ou Q est le quotient de B*B par le 
modulo public n. Le verifieur verifie alors que Dar = B*B - 
Q*n est bien egal a I'une des quatre valeurs suivantes : 
A, n-A, (C*A) modulo n, ou (-C*A) modulo n. De plus, il 

10 peut calculer (C*A) modulo n en calculant C*A, en gardant 
cette valeur si elle est < n, et en prenant la valeur C*A 
- n sinon. De meme, il peut calculer (-C*A) modulo n en 
calculant n-C*A, en gardant cette valeur si elle est >= 0, 
et en prenant la valeur C*n - C*A sinon.. Ainsi le 

15 verifieur n' a plus aucune division a effectuer. 

Verification de signature 
Ainsi que represents en figure 2b, et en 
conservant les memes notations que ci-dessus, on note M le 
message dont le verifieur souhaite verifier la signature 

20 S . La signature S est obtenue a partir de la cle privee d 
par S = Sd(M), Sci(M) designant 1' operation de calcul de 
signature du message M. Si S est une signature Rabin de M, 
alors le verifieur verifie normalement que S*S modulo n = 
f(M) ou n-f(M), ou (2*f(M) modulo n) ou {-2*f(M) modulo 

25 n) , ou f est une fonction publique standardisee du message 
M. Par exemple f est la fonction identite, ou bien est 
decrite dans une norme de signature ; par exemple on peut 
utiliser les operations de paddage ou concatenation de la 
norme PKCS#1, etablie pour du RSA normalement, confer les 

30 elements descriptifs de ■ cette norme ci-apres dans la 
description . 

En conservant les memes notations que ci-dessus, 
pour simplifier le processus de verification de la 
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signature, ainsi que represente en figure 2b, dans le 
precede objet de la presente invention, le prouveur 
n'envoie pas, (reference 2), la valeur S seule : il envoie 
S et Q, ou Q est le quotient de S*S par le modulo public 
5 n. Le verifieur verifie alors que Dsr = S*S - Q*n est bien 
egal a f (M) , ou n-f(M), ou C*f{M) modulo n, ou -C*f(M) 
modulo n, ou C est un nombre fixe par le protocole, C 
pouvant etre pris egal a 2. Comme ces deux dernieres 
valeurs peuvent etre calculees modulo n en effectuant zero 

10 ou une soustraction par n, le verifieur n' a plus aucune 
division a calculer. 
♦ Algorithme RSA 

Le precede, objet de la presente invention, sera 
maintenant decrit dans un mode de realisation particulier 

15 non limitatif a partir de 1' algorithme RSA, soit pour 
e = 3 . 

Verification d ' authentif ication 
Ainsi que represente en figure 3a, a partir d'un 
alea A, pour simplifier le processus de verification, dans 
20 la presente invention le prouveur n'envoie pas, (reference 
2), la valeur B seule : il envoie B, Ql et Q2, ou Ql est 
le quotient de B*B par le modulo public n, et ou Q2 est le 
quotient de B* ( B*B - Ql*n) par n. Le verifieur verifiera 
alors que Darsa = B* (B*B - Ql*n) -Q2*n est bien egal a A. 
25 Ainsi le verifieur n'a plus aucune division a effectuer. 

Verification de signature 
En conservant les memes notations que ci-dessus et 
en notant M le message dont le verifieur souhaite verifier 
la signature S, S est une signature RSA de M, alors le 
30 verifieur verifie normalement que S^ modulo n = f (M) , ou f 
est une fonction publique standardisee du message M. Par 
exemple f est la fonction identite, ou bien est decrite 
dans une norme de signature RSA, comme par exemple la 
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norme PKCS#1. La fonction publique normalisee peut 
consister a appliquer au message M une fonction de 
condensation SHA-1 pour obtenir un condense de message CM, 
puis a concatener a ce condense de message une valeur 
5 constante. 

Ainsi que represente en figure 3b, et en 
conservant les memes notations que ci-dessus, pour 
simplifier le processus de verification de la signature, 
dans le precede, objet de la presente invention, le 

10 prouveur n'envoie pas, (reference 2), la valeur S seule : 
il envoie S, Ql et Q2, ou Ql est le quotient de S*S par le 
modulo public n, et ou Q2 est le quotient de S* ( S*S - 
Ql*n) par n. Le verifieur verifiera alors que Dsrsa = 
S*(S*S - Ql*n) -Q2*n est bien egal a f (M) . Ainsi le 

15 verifieur n' a plus aucune division a effectuer. 

La fonction de condensation SHA-1 est une fonction 
publique de "condensation'' . Elle prend en entree un 
message dont la taille peut aller de 0 octets a plusieurs 
Giga octets, et donne en sortie un "condense" du message 

20 de 160 bits. Cette fonction est souvent utilisee dans des 
normes ou avec des algorithmes de signature, car elle est 
reputee etre resistante aux collisions, c^est-a-dire que 
I'on ne salt pas trouver concretement deux messages 
distincts qui ont le meme condense (il en existe mais on 

25 ne salt pas comment trouver un tel couple de messages) . 
Ceci permet de signer le condense des messages plutot que 
les messages eux-memes . 

La norme PKCS#1 est une norme de signature RSA. 
Elle decrit une fonction publique f. Cette fonction f est 

30 appliquee sur le message M a signer avec RSA avant de 
lancer 1' operation d' exponentiation modulaire RSA 
proprement dite : la signature RSA de M sera done 

S = (f(M))'^ modulo n, ou n est le modulo public 



m 
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RSA et ou d est I'exposant secret RSA, f utilise une 
fonction de condensation (par exemple SHA-1) suivie d'un 
paddage, ou concatenation, avec une constante. 

Pour une description plus detaillee, on peut 
5 consulter : 

PKCS#1, RSA Encryption Standard, version 2, 1998, 

disponible a I'adresse suivante : 

ftp: //f tp. rsa . com/pub/pkcs/doc/pkcs-lv2 . doc 

dont la version editee est introduite dans la presente 

10 demande a titre de reference, 

L' invention consiste ainsi a fournir des donnees 
supplementaires au verifieur afin de lui faciliter les 
calculs- Pour precalculer ces donnees, ici des quotients 
constituant la ou les valeurs de pre-validation, on n'a 

15 pas besoin d'utiliser la cle secrete de 1' algorithme , Cela 
signifie que ces donnees sont completement redondantes par 
rapport aux valeurs transmises a la carte dans une 
utilisation classique'' de 1' algorithme asymetrique. En 
fait, dans la version "classique", la carte salt retrouver 

20 elle-meme ces quotients. II n'y a done aucune information 
supplementaire fournie a la carte, au sens de la theorie 
de 1' information, lorsqu'on met en oeuvre le procede, objet 
de la presente invention tel que decrit precedemment • Cela 
montre que la securite de 1' ensemble n' est en rien 

25 affaiblie par rapport a la mise en oeuvre classique'' de 
1' algorithme . 
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REVENDICATIONS 

1. Precede de verification de signature, 
respectivement d' authentif ication, au moyen d'un processus 
de calcul cryptographique asymetrique a cle privee et a 
cle publique, entre une entite "prouveur" et une entite 
"verifleur", 1' entite prouveur effectuant des calculs 
cryptographiques a partir de ladite cle privee en vue 
d'effectuer un calcul de signature, respectivement d'une 
valeur d' authentif ication, constituant une valeur de 
reponse et 1' entite verifieur, a partir de cette valeur de 
reponse, effectuant des calculs cryptographiques a partir 
de ladite cle publique en vue de proceder a cette 
verification de signature, respectivement cette 
authentif ication, les operations de calcul cryptographique 
mettant en oeuvre le calcul de multiplications modulo n ou 
des grands nombres, caracterise en ce que pour un 
processus de calcul cryptographique mettant en ceuvre une 
cle publique, comprenant un exposant public e et un modulo 
public n, et une cle privee comprenant un exposant prive, 
celui-ci comprend les etapes suivantes : 

- calculer au niveau de ladite entite prouveur au 
moins une valeur de pre-validation ; 

- transmettre de 1' entite prouveur a 1' entite 
verifieur ladite au moins une valeur de pre-validation, 
cette valeur de pre-validation permettant a 1' entite 
verifieur d'effectuer au moins une reduction modulaire en 
1' absence de toute operation de division, pour cette 
reduction modulaire. 

2. Precede selon la revendication 1, caracterise 
en ce que pour un exposant public e=2, le processus de 
calcul cryptographique etant base sur un algorithme de 
RABIN, ladite au moins une valeur de pre-validation 
comprend une valeur unique, quotient Q du carre de ladite 
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valeur de signature, respectivement de reponse ,par ledit 
modulo public n, Q = R*R/n, ou R designe ladite valeur de 
signature, respectivement de reponse, a une 
authentif ication . 
5 3. Precede selon la revendication 2, caracterise 

en ce que suite a la reception par ladite entite verifieur 
de ladite valeur de reponse a une verification 
d' authentif ication respectivement de signature d'un 
message (M) et de ladite au moins une valeur de pre- 
10 validation, comprenant ledit quotient, ce precede 
comprend, au niveau de ladite entite verifieur, les etapes 
suivantes : 

- calculer la difference (Dar, Dsr) entre le carre 
de la valeur de reponse R-*R et le produit Q*n dudit 

15 quotient Q par ledit modulo public n, 
(Dar, Dsr) = R*R -Q*n ; 

- verifier I'egalite de ladite difference avec la 
valeur d'une fonction de cette valeur de reponse, en 
1 ' absence de toute operation de division par 1' operation 

20 modulo n, 

4. Precede selon la revendication 1, caracterise 
en ce que pour un exposant public e = 3, le processus de 
calcul cryptographique etant base sur un algorithme RSA, 
ladite au moins une valeur de pre-validation comprend : 

25 - un premier quotient Qi du carre R*R de ladite 

valeur de reponse R par ledit modulo public n ; 

- un deuxieme quotient Q2 du produit de ladite 
valeur de reponse et de la difference entre le carre R*R 
de cette valeur de reponse et du produit dudit premier 

30 quotient Qa et du modulo public n, par ledit modulo public 
n, Q2 = R* (R*R - Qi*n)/n. 

5. Precede selon la revendication 4, caracterise 
en ce que suite a la reception de ladite valeur de reponse 
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R et de ladite au itioins une valeur de pre-validation 
comprenant lesdits premier et deuxieme quotients Qi, Q2, 
ledit precede comprend, au niveau de ladite entite 
verifieur, les etapes suivantes : 
5 - calculer la difference (Darsa/ Dsrsa) entre le 

produit de ladite valeur de reponse R et de la difference 
entre le carre R*R de cette valeur de reponse et le 
produit dudit premier quotient Qi et du modulo public n et 
le produit dudit deuxieme quotient Q2 et dudit modulo 
10 public n, (Darsa/ Dsrsa) = R* (R*R - Qi*n) -Q2*n ; 

- verifier I'egalite de cette difference avec la 
valeur d'une fonction de ladite valeur de reponse, en 
1' absence de toute operation de division par operation 
modulo n. 

15 6. Precede selon la revendication 3 ou 5, 

caracterise en ce que pour une operation de verification 
de signature d'un message (M) , ladite fonction comprenant 
une fonction publique normalisee f (M) de ce message M, il 
comprend les etapes suivantes : 

20 - appliquer a ce message une fonction de 

condensation pour obtenir un condense de message CM ; 

- concatener a ce condense de message une valeur 
constante • 

7, Precede selon I'une des revendications 3 ou 5, 
25 caracterise en ce que, pour une operation de verification 

d' authentif ication, ce procede comprend en outre I'etape 
de transmission de 1' entite verifieur a 1' entite prouveur 
d' une valeur d' incitation. 

8. Procede selon la revendication 7, caracterise 
30 en ce que ladite valeur d* incitation comprend une valeur 

aleatoire A modulo n, ladite valeur de reponse R comprend 
une valeur chiffree B, et ladite fonction de la valeur de 
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reponse comprend une fonction f (A) de ladite valeur 
aleatoire A. 

9. Precede selon 1 ' une des revendications 3 et 7, 
caracterise en ce que ladite fonction f (A) de ladite 
valeur aleatoire A comprend une fonction parmi les 
fonctions f (A) = A, t{A} = n-A, f (A) = C*A modulo n, 
f (A) = -C*A modulo n. 

10. Procede selon la revendication 9, caracterise 
en ce que, au niveau de I'entite verifieur, le calcul de 
ladite fonction f (A) = C*A modulo n comprend le calcul de 
la valeur C*A et la memorisation de cette valeur si 
C*A < n, et le calcul et la memorisation de la valeur C^A- 
n sinon, et en ce que le calcul de ladite fonction 
f (A) = -C*A modulo n comprend le calcul de la valeur n-C*A 
et la memorisation de cette valeur si n-C*A > 0, et sinon 
le calcul de la valeur intermediaire C*n-C*A, et, si cette 
valeur intermediaire est superieure ou egale a zero, le 
calcul et la memorisation de la valeur de C*n-C*a comme 
valeur affectee a la valeur de -C*A modulo n, ce qui 
permet de verifier I'egalite de ladite authentif ication en 
1' absence de toute division pour la reduction modulaire. 

11, Procede selon les revendications 5 et 8, 
caracterise en ce que ladite fonction f (A) de ladite 
valeur aleatoire A est la fonction f (A) = A, ce qui permet 
de verifier I'egalite de ladite difference et la validite 
de ladite authentif ication, en 1' absence d* operation de 
division pour la reduction modulaire. 

12, Procede selon la revendication 1, caracterise 
en ce que ladite valeur de reponse, valeur chiffree B, et 
ladite valeur de quotient Q sont concatenees prealablement 
a leur transmission de I'entite prouveur. a I'entite 
verif ieur . 
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13. Utilisation du procede selon la revendication 
1, I'entite verifieur comprenant un systeme embarque tel 
qu'une carte a microprocesseur et I'entite prouveur un 
systeme lecteur de systeme embarque. 



• 



ABREGE DESCRIPTIF 

L' invention concerne un precede de verification de 
signature ou d ' authentif ication entre prouveur et 
verifieur a partir d'un algorithitie de calcul 
cryptographique asymetrique . 

Le prouveur calcule (1) au moins une valeur de 
prevalidation q, quotient de deux valeurs cryptographiques 
a, b par le modulo public n, et transmet au verifieur 
cette valeur q. Le verifieur calcule (3) les produits a*b 
et q*n et la difference a*b-q*n pour effectuer au moins 
une reduction modulaire en 1' absence d' operation de 
division. 

Application a la verification de signature ou 
d' authentif ication entre un prouveur, micro-ordinateur , et 
un verifieur, carte a microprocesseur • 

Figure 1 . 
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